Salesforce環境を狙う大規模データ窃取と恐喝手口 Mandiantが分析:セキュリティニュースアラート
Mandiantはサイバー攻撃グループ「UNC6040」によるSalesforce環境を標的とした攻撃の詳細を公表した。Salesforceの「Data Loader」を模倣した不正なアプリを使って、従業員を恐喝し、情報を窃取するという。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Googleは2025年10月1日(現地時間)、セキュリティ研究部門のMandiantを通じてサイバー犯罪グループ「UNC6040」の活動に関する最新の分析結果と防御策を公表した。
UNC6040は金銭目的のサイバー攻撃グループで、主に企業の「Salesforce」環境を標的とした音声フィッシング(vishing)攻撃を実行し、大規模なデータ窃取と恐喝を繰り返している。
SalesforceのData Loaderを装った不正アプリで攻撃 巧妙な手口への対策は?
UNC6040は数カ月にわたり多国籍企業の英語圏拠点を中心に攻撃を仕掛け、ITサポート担当者になりすました電話によって従業員を巧妙にだまし、認証情報の入力や不正アプリの承認を誘導していた。
攻撃の多くにおいて、Salesforceの「Data Loader」を装った不正な接続アプリを使って被害者に不正なアクセスを承認させ、その結果としてSalesforcenに保存されている機密データへのアクセス権限を獲得し、情報を直接流出させていた。これらの攻撃はSalesforce自体の脆弱(ぜいじゃく)性を突いたものではなく、従業員の操作を利用した手口だと強調されている。
一部のケースにおいて、初回侵入から数カ月後に恐喝行為が発生しており、奪われたデータが別の攻撃者によって悪用されている可能性も指摘されている。恐喝の際には「ShinyHunters」と名乗ることで被害者への圧力を高める傾向が確認されている。
MandiantはUNC6040の攻撃パターンとして、Salesforce環境からのデータ窃取に続き、取得した認証情報を使って「Okta」や「Microsoft 365」といった他のクラウドサービスに横展開する行動を挙げている。攻撃インフラには主に「Mullvad VPN」が利用されていたことも判明している。
UNC6040の手口への防御策が複数提示されている。特に本人確認手続きの強化が強調されている。サポート依頼に対応する際、申告されている本人の情報をそのまま信頼せず、複数の検証手段を組み合わせる「多層的な確認」が推奨されている。生年月日や社会保障番号の下4桁など公開されやすい情報は識別要素として不適切であり、より確実性の高い手段が必要とされる。
具体策として、ライブ映像による本人確認が「最も信頼性の高い方法」とされ、従業員が顔写真付き身分証とビデオ通話に参加し、通話中の映像と社内システムに登録された顔写真を突合するプロセスを設けることが提案されている。映像が利用できない場合、自撮り写真と身分証、当日の日付が記されている紙を併せて提示する方式が代替手段とされている。休暇や不在中の従業員を装った依頼については、復帰まで一律に却下することが求められる。
高リスクの操作(多要素認証《MFA》リセットや特権アカウントのパスワード変更など)には、別経路による確認が必須とされる。これは登録済みの電話番号への折り返し連絡や直属の上司への承認確認などを含む。外部ベンダーを名乗る攻撃については特に注意が必要だ。受電時に情報を与えることなく通話を終了し、登録済みの担当窓口に直接連絡して真偽を確認する手順が求められる。
アプリケーション防御については、Salesforceの接続アプリ管理を「許可制」に切り替え、承認されている最小限のアプリだけを利用可能にすることが推奨されている。不要なユーザーからのAPI利用権限の剥奪や管理者以外への設定メニュー非表示、組織全体のデフォルト共有設定を「Private」に設定することなど、権限最小化の徹底が推奨されている。
Mandiantはログ監視の強化も不可欠とし、「Salesforce Shield」や「Event Monitoring」の活用によるログ収集を推奨した。対象にはログイン履歴やAPI呼び出し、レポートエクスポート、権限変更などが含まれ、これらをSIEMに統合することで不審な行動を早期に検出できるとされている。10分以内に「Salesforce OAuth」の不審利用とデータ流出を検知するなど、具体的な検知目標も提示されている。
認証基盤については、全ユーザーをシングルサインオン経由でアクセスさせ、強力なフィッシング耐性を備えたMFA、特にFIDO2準拠の物理キーの導入が不可欠とされている。組織の認証ポリシーに動的要素を取り入れ、異常なアクセスが観測されている場合には自動的にアクセスを制限する仕組みを導入することが強く推奨される。
MandiantはUNC6040の活動は今後も継続する可能性が高いとしており、Salesforceに限らずクラウド全般を標的とした攻撃が続くとみられる。企業は技術的対策だけでなく、従業員教育や手続きの標準化を通じ、社会工学的手法への防御力を高めることが不可欠としている。
関連記事
「OS標準の無料アンチウイルス機能で十分」には条件がある
昔と違って、OSに標準搭載された無償のアンチウイルスソフトは進化しており、もはや有償製品をわざわざ導入する必要もなくなっています。ただ無償のソフトを使うなら少し注意しておきたい点も。今回はそちらを解説します。
「脆弱性を見つけたらどうする?」 FeliCa問題が投げかけた情報開示のあるべき姿
FeliCaに関連した脆弱性を巡る報道は、脆弱性情報公開のプロセスやメディアの在り方など多くの問いを投げかけた。果たしてセキュリティ担当者は脆弱性とどう向き合うべきか。既存の公表プロセスの現状と課題、技術者の倫理を有識者が語った。
「フリーライドにはもう耐えられない」 OSSコミュニティーが怒りの提言?
OpenSSFらは、オープンソース基盤の持続可能な運営に関する共同声明を発表した。オープンソースのコミュニティーは少数の善意と不安定な財源に依存し、持続性が危ういと警鐘を鳴らしている。
Salesforce環境に不正アクセス、複数企業が相次いで被害を公表 攻撃者の目的は
Palo Alto Networksは2025年9月2日、同社のSalesforce環境が不正アクセスを受けたと発表した。複数の企業が同様の被害を公表しており、被害は拡大する恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- AIはERPを駆逐するのか? 第三者保守ベンダーが主張する「ERPパッケージという概念の終焉」
- 三菱UFJ銀行もサイバーセキュリティの合弁会社を設立へ GMOイエラエらと
- フィッシングフレームワークで多要素認証を回避 DNS分析で分かった攻撃の詳細
- 日本企業のフィジカルAI実装は進むか ソフトバンクと安川電機が協業
ITmediaはアイティメディア株式会社の登録商標です。